De 5 mest udbredte myter om WordPress sikkerhed

– og hvad du i stedet skal gøre for at øge din WordPress sikkerhed på nettet’

wordpress sikkerhed

Dette indlæg er en gengivelse af Ithemes Security’s artikel om WordPress sikkerhed, udgivet d. 29 januar 2019. I dette indlæg kommer jeg også med mit eget syn på metodernes brugbarhed.

Der findes en overflod af sikkerhedsråd fra en masse velmenende mennesker. Faktum er bare desværre, at mange af dem bygger på myter, der ikke øger din WordPress sikkerhed, og som i værste fald kan resultere i modsatte effekt.

De 5 største sikkerhedsmyter

Myte 1: Det er en god idé at skjule dit kontrolpanel og din login-side (/wp-login.php)

Tanken med denne metode er, at hackere ikke kan hacke, hvad de ikke kan finde. Så hvis du ikke logger ind fra /wp-login, men fra /min-valgte-url, så burde du vel være beskyttet mod login-angreb, ikke? (også kaldet Brute Force Attacks)
Det skulle man tro, men sandheden er, at denne strategi ikke er skudsikker. I overført betydning kan du sammenligne det med at gemme din bil i stedet for at låse den. Hvis du anvender denne metode, er det vigtigt at forstå to ting:

  • Metoden stopper ikke alle login-angreb. Den kan som regel forhindre de ’gammeldags’ angreb, men selv med denne metode, vil du stadig kunne registrere login-angreb.
  • Metoden er på ingen måde en erstatning for at bruge stærke og sikre passwords til dit WordPress-login. Den største fejl du kan begå er, at basere hele din hjemmesides sikkerhed på denne metode. Og ja, det er der desværre mange der gør.

Årsagen til punkt 1 er, at du kan logge ind i WordPress gennem andet end en browser. F.eks. gennem XML-RPC eller REST API’en. Det betyder, at når du har ændret din login-url, kan plugins eller temaer linke til den nye url, hvorved den ihærdige hacker stadig har et sted at finde den.

Indrømmet, jeg har tidligere været fortaler for denne metode. Mest fordi de fleste automatiserede login-angreb på WordPress-sider, leder efter /wp-login. Engang var denne metode mere effektiv, end den er i dag. I dag vil jeg kun i visse situationer forslå den til mine kunder, fordi den desværre bliver en sovepude for folk, der synes det er for besværligt at lave sikre passwords. Det eneste du reelt opnår ved denne metode er, at det forhindrer de fleste hackere og bots fra at kunne målrette deres angreb mod din login-side i første forsøg.

Denne metode kan også skabe tekniske problemer på din hjemmeside. Nogle plugins, temaer eller tredjeparts-app har hardcoded /wp-login ind i deres programmering. Hvis den ikke længere findes, får du fejl i stedet for.

I stedet for:

Brug en mere sikker metode. Her kan jeg anbefale ’Wordpress two-factor authentication’, og indstil din WordPress til kun at acceptere stærke passwords. Med iThemes Sceurity Pro kan du også nægte brug at passwords, som tidligere er blevet knækket på andre WordPress-sider.

Myte 2: Du bør skjule dit tema-navn og WordPress-version

I din browsers Developer Tools er det ret nemt at spotte navnet på dit tema, og hvilken version af WordPress du bruger. Teorien bag denne metode er, at hvis hackere kan se denne information, har de groft sagt allerede en opskrift på, hvordan de kan bryde ind.

Faktum er, at der ikke sidder nogen personer og leder efter den perfekte kombination af temaer og WordPress version for at kunne bruge ind. Det bliver gjort at bots, som hele tiden florerer på nettet og leder efter sårbarheder i den kode, der kører på din hjemmeside, og derfor vil denne metode ikke beskytte dig.

I stedet for:

I stedet for at skjule disse informationer, så sørg for at holde din WordPress-installation, temaer og plugins opdaterede. Det beskytter dig meget bedre end denne metode nogensinde kommer til.

Myte 3: Det øger din WordPress sikkerhed at omdøbe din wp-content mappe

I denne mappe findes alle dine plugins, temaer og uploadede mediefiler. Det laver selvfølgelig en masse lækker og udførlig kode i én mappe, og derfor er det helt forståeligt, at folk gerne vil beskytte den.

Desværre er det en stor misforståelse, at denne metode giver dig et ekstra sikkerhedslag på dine filer. Det gør det ikke. Hver gang hjemmesiden laver et kald til denne mappe, kan man åbne Developer Tools i browseren, og se hele stien til det indhold, som hjemmesiden indlæser, inkl. content-mappens nye navn.

Derudover kan det skabe fejl og problemer for temaer og plugins, der har hardcoded ’wp-content’-mappens navn ind i sin kode.

I stedet for:

Den eneste grund til at være bekymret over dette er, hvis du ved, at du har et plugin eller tema af ældre dato, som har en sårbarhed. Derfor her endnu en opfordring til at holde temaer og plugins opdaterede hele tiden. Det er din bedste sikkerhed for, at du kører med sikker software på din hjemmeside.

Myte 4: Min hjemmeside er for lille til at tiltrække hackeres opmærksomhed

Nej, det er den ikke. Dette er faktisk måske nok den myte, der efterlader flest WordPress-hjemmesider pivåbne for angreb. Det spiller ingen rolle, hvor lille og ligegyldigt du synes din hjemmeside er; din WordPress sikkerhed er stadig vigtig, hvis du vil beskytte dit arbejde og de data, du har på den.

Hackere er ligeglade med om hjemmesiden er stor eller lille. Er den sårbar og lige til at plukke, så gør de det. Det kan godt være, der ikke er meget at ødelægge på din hjemmeside, men om ikke andet, kan de bruge den til at videresende dine besøgende til ondsindede hjemmesider, sende spam fra din mailserver, sprede virusser eller gemme Bitcoins.

I stedet for:

Beskyt din hjemmeside. Hold temaer og plugins opdaterede, brug et godt sikkerhedsplugin som f.eks. Ithemes Security eller Sucuri og anvend WordPress two-factor authentication.

Myte 5: WordPress er en usikker platform

Dette er direkte usandt. Hvis WordPress var en usikker platform, ville den ikke have succes med at drive næsten 30% af alle Internettets hjemmesider i dag.

Sandheden er simpelthen, at WordPress’ største sårbarhed er dets brugere. Langt de fleste angreb mod WordPress-hjemmesider kan forhindres med en forholdsvis beskeden indsats fra hjemmesidens ejere.

Når en hacker udnytter et sikkerhedshul på en WordPress-hjemmeside, er det i 99,99% af tilfældene ikke selve WordPress, der er skyld i det. I  ca. 52% af tilfældene, er det fordi hjemmesidens temaer eller plugins ikke er tilstrækkeligt opdaterede. De næste 40% skyldes angreb og mangelfuld sikkerhed hos hosting-udbyderen, mens de sidste 8% skyldes knækkede passwords.

Gamle udgaver af WordPress, temaer og plugins udgør en større sikkerhedsrisiko, end de fleste gør sig begreb om. Din vigtigste opgave som hjemmeside-ejer er – før alt andet – at hente de opdateringer, der løbende kommer til det software, din hjemmeside bruger. Det er det, der holder den sikker. WordPress kan endda indstilles til at hente og installere dem automatisk. Alt software – også det nyeste, du lige har installeret – vil altid indeholde små sårbarheder, og jo længere det ligger på din hjemmeside uden at blive opdateret, jo større er risikoen for, at din hjemmeside bliver angrebet før eller siden.

I stedet for:

Med fare for du bliver træt af at læse det samme råd igen og igen, så kommer den her: Hold temaer og plugins opdaterede hele tiden. Når du vælger plugins, så kig især efter, hvornår det sidst er blevet opdateret. Det giver dig en god indikation af, om det plugin du installerer faktisk bliver vedligeholdt af udgiveren. En god tommelfingerregel er, at et plugin højst må være et år gammelt, når du installerer det. Jo større plugin, jo nyere skal det være. Yoast SEO er et eksempel på et godt, stort plugin, der ofte bliver opdateret. Brug altid din sunde fornuft. Et plugin af ældre dato, skal du altid holde dig fra – også selvom det ligner præcis det, du leder efter.

Spørgmål?

Har du spørgsmål eller brug for hjælp til at få styr på din WordPress sikkerhed, så er du velkommen til at kontakte mig.